Aviso dos investigadores da ESET

Grupo de ciberespionagem Fancy Bear continua operacional em 2017

Versão para impressão
Um ano depois de ser ter apresentado o mais completo whitepaper sobre as atividades deste grupo, os investigadores da ESET descobriram uma nova versão do principal malware do Fancy Bear, o Xagent, provando que o grupo continua muito ativo em 2017, e continuará assim em 2018.

A ESET, especializada em segurança informática, tem-se comprometido a monitorizar o Fancy Bear (também conhecido por Sednit ou APT28) – um dos mais notórios grupos de ciberespionagem do mundo.

Monitorização focada

Ao longo da monitorização da atividade do grupo, a ESET confirmou que o principal objetivo do Fancy Bear é roubar informação confidencial de alvos específicos de alto perfil. Os alegados alvos durante os últimos anos incluem a rede televisiva francesa TV5Monde em abril de 2015, o parlamento alemão um mês depois e o Comité Nacional Democrático (DNC) americano em março de 2016.

Ao visar certos indivíduos ou grupos, o Fancy Bear usa dois principais métodos de ataque para transmitir o seu software malicioso – tipicamente persuadindo alguém a abrir um anexo de email ou redirecionando um indivíduo para um website que contém um exploit kit personalizado como resultado de um email de phishing.

Quando o grupo identifica um alvo interessante, ativa o seu kit de espionagem, monitorizando dispositivos comprometidos a longo prazo. O Xagent é uma das duas backdoors transmitidas através deste método e usadas para espionagem.

“O Xagent é uma backdoor extremamente bem desenvolvida e, ao longo dos últimos anos, tornou-se no principal malware de espionagem da Sednit,” disse Alexis Dorais-Joncas, Líder da Equipa de Segurança na ESET. “Com a sua capacidade de comunicar através de HTTP ou email, temos observado esta backdoor modular a ser usada extensivamente nas operações do grupo.”

Uma ameaça em constante evolução

Em 2017, a ESET descobriu uma nova versão do Xagent para Windows. Como a ESET revela, a versão 4 do Xagent inclui novas técnicas de ofuscação que melhoram significativamente a maneira como as cadeias de caracteres são encriptadas.

“As técnicas acrescentadas à backdoor – encriptação e Algoritmo de Geração de Domínio (DGA) – dificultam a nossa vida,” continuou Dorais-Joncas. “A primeira torna a inversão mais difícil, enquanto a segunda dificulta a aquisição de domínios uma vez que há mais domínios para adquirir ou apreender.”

A adição de novas funcionalidades e compatibilidade com as maiores plataformas – Windows, Linux, Android e iOS – fazem do Xagent a principal backdoor usada pelo Fancy Bear atualmente.

“É claro que o grupo Fancy Bear continua muito ativo; evoluindo continuamente e crescendo em sofisticação,” concluiu Dorais-Joncas. “Esta nova versão do Xagent é incrivelmente interessante e complexa. Podemos agora colocar a hipótese da Sednit ter adicionado outra camada para verificar os seus alvos com apenas alguns módulos do Xagent, e se a vítima for interessante o suficiente, então o grupo pode ativar outra versão com todos os módulos. Isto demonstra o quanto determinado está o grupo nos seus esforços para visar continuamente organizações e instituições de alto nível em todo o mundo.”

Mais informações AQUI

Comentários

comentários

Artigos relacionados

Este site utiliza cookies. Ao navegar no site estará a consentir a sua utilização. Saiba mais aqui.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close